Безопасно ли записывать «секретные» данные в txt-файл с именем из кракозябр (например salkgkawj2145lkjsalfkj@24lkjl), который открыт для чтения?

Через php принимаю и затем записываю некоторые данные в txt файл. Имя его примерно такое: faslkfjasl21412lkjsaflka!42q41lkjflskj.

Этот файл, конечно же, если знать его имя, открыть может хоть кто. Безопасно ли это?

Есть ли какие-то другие способы сохранения данных, не используя БД?
  • Вопрос задан
  • 306 просмотров
Решения вопроса 3
syschel
@syschel
freelance/python/django/backend
Не безопасно, вспомним утечки всех СМСок у крупных сотовых операторов лет 5 назад.

Можно хранить в тхт файлах, но раз есть пхп на сервере, то через него и отдавать. То есть "база" из файлов лежит в папке, к которой из вне не попасть, но сам пхп может смотреть папку и вычитывать файлы. Вот этот пхп пускай на время сессии и выдаёт контент файлов. Этот же пхп файл определяет и права на доступ к данным, если там многопользовательский вариант или просто парольный доступ.
Через мод_реврайт, можете симулировать расширение .txt в адресной строке, а через контент тип формат text.
Ответ написан
Комментировать
twobomb
@twobomb
Ну записывай, только используй хотя бы шифрование с ключём которые знают только доверенные лица.
Ответ написан
Konstantin18ko
@Konstantin18ko
Стоматолог
Если переименовать файл, то расшифровка будет уже невозможна.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 4
CityCat4
@CityCat4 Куратор тега Информационная безопасность
Внимание! Изменился адрес почты!
Любой вопрос с текстом "безопасно ли..." начинается с прото-вопроса "от кого я защищаюсь?". Раз есть "безопасность", значит есть и "опасность", не? Так вот кто представляет "опасность"? Хакер Вася с тырнета? Админ сервера? Товарищ майор?
Ответ написан
Комментировать
Секретные настройки, ключи и пароли нужно писать в переменные окружения.
Ответ написан
Комментировать
@DVoropaev
Ставлю + к карме на хабре за ответы на вопросы
в случае компрометации сервера данные не будут защищены
Ответ написан
Комментировать
@marataziat
Джангист-тракторист
Используй uuid в имени файла и отгадать его будет невозможно :) Но это только если ты выключишь directory listing на сервере конечно.

По такому принципу работают многие CDN! Например если ты посмотришь url превью видео на ютубе то увидешь что юрл очень длинный и непредсказуемый. Даже если это приватное видео то url на превью во вкладке инкогнито будет виден!
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
29 мар. 2024, в 11:11
10000 руб./за проект
29 мар. 2024, в 10:00
10000 руб./за проект
29 мар. 2024, в 09:59
750 руб./в час